Jaka jest różnica między drużyną czerwoną i drużyną niebieską w pentestingu?
Branża cybersecurity to w ostatnich latach gałąź sektora IT, który rozwija się w sposób najbardziej dynamiczny. Nic w tym dziwnego. Cyberzagrożenia stanowią poważny problem, który stawia na szali nie tylko bezpieczeństwo użytkowników, ale też reputację samej firmy. Dlatego też pentesting wraz z podziałem na dwie specyficzne drużyny stanowi obszar ogólnego zainteresowania. Czym jest pentesting i czym charakteryzują się dwie drużyny?
Pentesting – czym jest?
Pentesting, często nazywany także obszarem testów penetracyjnych stanowi coraz częstszy obiekt zainteresowania firm z branży IT i nie tylko, które są świadome niebezpieczeństwa związanego z dużą ekspozycją procesów biznesowych na ataki hakerskie. To prowadzi do organizowania zespołów, których celem jest testowanie zabezpieczeń informatycznych w specyficzny sposób. Jaki? Włamując się do nich w sposób kontrolowany.
Pentesterzy mają za zadanie ocenić faktyczny stan zabezpieczeń infrastruktury informatycznej i korzystając z całej swojej wiedzy włamać się do niego. Pentesting realizowany jest nie tylko w odniesieniu do dużych, korporacyjnych systemów informatycznych, ale także dla aplikacji desktopowych, mobilnych czy sieci firmowych. W toku procesów pentestingowych najczęściej dochodzi do ujawnienia słabości systemów, wynikających z luk systemu, nieodpowiednich mechanizmów zabezpieczania infrastruktury czy błędów ludzkich, które stanowią największe ryzyko w dzisiejszych czasach. Etyczny hacking cieszy się coraz większą popularnością i już dzisiaj w biznesie wzrasta świadomość, że tylko taki sposób testowania zabezpieczeń w realny sposób zapobiegnie realnemu zagrożeniu.
Dlaczego istnieje podział na drużyny?
Pentesting to dziedzina, która w branży IT jest relatywnie młoda w Polsce, ale też na świecie. Jednak już teraz coraz częściej wdraża się w organizacji firmy podejście do ciągłego rozwoju zespołów pentestingowych, między innymi poprzez stosowanie podziału na dwie drużyny – drużynę niebieską i drużynę czerwoną.
Czym jest ten podział? W dużym skrócie drużyna czerwona ma za zadanie przedostać się do systemu i poczynić konkretne zmiany lub wykraść określony wolumen danych. Drużyna niebieska natomiast robi wszystko, by nie dopuścić do realizacji ataku. Bez względu na przynależność do koloru, obie drużyny działają w jednym, wspólnym celu – zabezpieczenie infrastruktury informatycznej przed realnym, zewnętrznym zagrożeniem hakerów.
Takie podejście do organizacji pracy pentesterów może wydawać się bardzo specyficzne. Przemawia jednak za tym szereg argumentów, takich jak:
- Efektywne poszukiwanie wszelkich luk w zabezpieczeniach;
- Realne wzmocnienie zabezpieczeń infrastruktury IT;
- Praktyczne podejście do opracowania procedur awaryjnych;
- Priorytetyzacja zadań związanych z uszczelnieniem systemu IT;
- Wzrost kompetencji pentesterów;
- Zwiększenie zaangażowania pracowników branży cybersecurity poprzez stosowanie zasad zdrowej konkurencji i współzawodnictwa.
Za co odpowiada drużyna czerwona
Czas zagłębić się w szczegóły. Czym dokładnie zajmuje się drużyna czerwona w zespole pentesterów? Red team ma uosabiać rolę prawdziwych atakujących, których celem jest zidentyfikowanie wszystkich luk w zabezpieczeniach, uzyskanie niezbędnych dostępów i wykonanie możliwie jak największych zniszczeń w samym systemie. Czasem rola sprowadza się do wykradzenia konkretnych danych. Czasem może to być kwestia usunięcia lub edycji danych. W innym przypadku celem zespołu czerwonego może być zastosowanie niszczycielskiego oprogramowania.
Osoby należące do drużyny czerwonej powinny przestawić się na tok myślenia hakera, wykorzystując wszelkie dostępne metody i narzędzia (doskonały przykład to Kali Linux). Członkowie zespołu czerwonego powinni zatem charakteryzować się nie tylko twardymi umiejętnościami IT, jak kryptografia, programowanie, znajomość narzędzi hakerskich, ale też znajomością schematów zabezpieczeń i kreatywnością, która stanowi największą broń w ręku wykwalifikowanego hakera.
Za co odpowiada drużyna niebieska
Dość o drużynie czerwonej. Co zatem leży w gestii drużyny niebieskiej? To swoistego rodzaju formacja defensywna, która za wszelką cenę stara się chronić wszystkie, a w podbramkowej sytuacji te najbardziej krytyczne z punktu widzenia prowadzonej działalności zasoby przed atakiem.
Do stałych zadań drużyny niebieskiej należy stałe monitorowanie potencjału zabezpieczeń infrastruktury IT oraz reagowanie na wszelkie incydenty i naruszenia bezpieczeństwa, które być może teraz nieistotne, już w najbliższej przyszłości staną się powodem poważnych ataków drużyny czerwonej. W ramach podstawowych działań drużyny niebieskiej wymienia się:
- Monitoring aktywności sieci firmowej;
- Realizacja audytów DNS;
- Wykonywanie analizy śladu;
- Bieżąca konfiguracja zabezpieczeń i zapór bezpieczeństwa
Członkowie zespołu niebieskiego, podobnie jak oponenci powinni być wyposażeni w wiedzę z zakresu cyberbezpieczeństwa, kryptografii, programowania. Dodatkowo specjaliści blue team powinni także charakteryzować się doświadczeniem z zakresu oceny ryzyka oraz przewidywania potencjalnych schematów, wedle jakich hakerzy zewnętrzni będą starali się sforsować zabezpieczenia firmy.
Jakie działania zachodzą między drużyną czerwoną, a drużyną niebieską?
Standardowa rywalizacja pomiędzy drużyną czerwoną i niebieską stanowi fundamentalny proces obszaru pentestingu, który w praktyce zapewnia ochronę przed realnymi zagrożeniami z zewnątrz. Coraz częściej możemy przeczytać o dodatkowym wzbogaceniu procesu, poprzez wprowadzenie drużyny purpurowej, pomarańczowej, zielonej i żółtej, które także charakteryzują się swoimi rolami i celami.
Pozostając jednak przy tradycyjnym modelu dwóch drużyn – jakie interakcje zachodzą pomiędzy nimi? Najważniejsza jest komunikacja – to ona właśnie stanowi o rozwoju kompetencji całego zespołu i zwiększa faktyczne bezpieczeństwo infrastruktury IT. To, jakie działania zachodzą pomiędzy dwoma zespołami, zależy przede wszystkim od specyfiki testu.
Niektóre testy mogą służyć skupieniu się na konkretnych zagrożeniach. To sytuacja, w której zespół czerwony poinformuje oponentów o charakterze ataku i pomoże dobrać strategię skutecznej obrony. W innych sytuacjach współpraca nie jest wskazana i obie drużyny będą działały incognito – po to by wygrać. Bardzo istotne jest, by firma inwestująca w dział penstestingowy żonglowała formami testów tak, by pokryć możliwie jak największe repozytorium ryzyk występujących w realnym świecie.
Porozmawiajmy!
a my pomożemy Ci wdrożyć najnowsze rozwiązania!